DUX主题 第2页

快讯

• 苹果MAC电脑系统里面使用OrbStack的容器宿主机搭建原生版小龙虾OpenClaw纯技术教程(同样适用于站长云服务ECS直接搭建)

  苹果MAC电脑系统里面使用OrbStack的容器宿主机搭建原生版小龙虾OpenClaw纯技术教程(同样适用于站长云服务ECS直接搭建)【先来个纯技术手码字的教程，后面有回复的话补充图文，并直接放出Windows 11真实电脑系统环境安装小龙虾教程】不用看到是MAC里面操作，实际上是MAC里面装了个Debian Linux!!!

  第一步：启动并进入大龙虾的专属沙盒 (TARDIS)

  不用去点OrbStack 的 Debian GUI 界面上的播放键，我们直接用工程师的方式。 打开你 Mac 刚才清理干净的终端（Terminal），直接输入下面这行命令并回车：

  orb -m debian
  

  (这行命令的意思是：使用 orb CLI，直接唤醒并进入名字叫 debian 的机器。)

  回车后，你的命令行提示符应该会瞬间从 Mac 的 dz-x@dz-xdeMacBook-Pro 变成类似 dz-x@debian，这意味着你已经成功穿越到了 Linux 容器的内部！

  第二步：给 Debian 铺设“地基”（更新系统与安装必备工具）

  进入 Debian 内部后，这个系统还是个“毛坯房”，我们需要更新系统源并安装构建 OpenClaw 所需的底层依赖（Git 用于拉代码，build-essential 用于编译 C++ 底层模块）。

  在 Debian 的终端里依次完整复制并执行以下命令：

  sudo apt update && sudo apt upgrade -y
  sudo apt install -y curl wget git build-essential python3
  

  (如果中途提示需要确认，输入 Y 并回车即可。)

  第三步：注入大龙虾的灵魂环境 (Node.js 22 & pnpm)

  OpenClaw 及其生态强依赖于最新版的 Node.js，并且官方指定使用 pnpm 作为包管理器。为了避免权限报错，我们使用最标准的 nvm (Node Version Manager) 来安装。

  依次执行下面三块命令：

  1. 安装 nvm:

  curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.39.7/install.sh | bash
  

  2. 让环境变量立即生效:

  source ~/.bashrc
  

  3. 安装 Node.js 和 pnpm:

  nvm install 22
  nvm use 22
  npm install -g pnpm
  

  ---

  第四步：验收地基

  执行完上面所有的命令后，用这三条命令查一下版本号，看看我们的环境是否完美落地：

  git --version
  node -v
  pnpm -v
  

  如果你看到了 Git 的版本号、Node.js 是 v22.x.x，并且 pnpm 也有了版本号，那么恭喜你，大龙虾的终极培养皿已经搭建完毕！

  “脑机接口”配置（最核心的一步！）

  我们直接在系统全局目录建立它的最高优先级图纸！

  直接完整复制下面这一大段（从 mkdir 一直到 EOF），在终端里粘贴并回车。它会自动帮你创建好完美的配置：

  # 1. 创建全局生产环境目录
  mkdir -p ~/.openclaw
  
  # 2. 写入最高优先级的 JSON 配置文件 (彻底焊死 Gemini 1.5 Pro 和你的 Token)
  cat << 'EOF' > ~/.openclaw/openclaw.json
  {
    "agents": {
      "defaults": {
        "model": {
          "primary": "google/gemini-2.5-pro"
        }
      }
    },
    "gateway": {
      "mode": "local",
      "bind": "loopback",
      "auth": {
        "token": "替换为你自己的Gemini Token"
      }
    }
  }
  EOF
  
  # 3. 写入环境变量文件 (提供你的 Gemini API Key 和安全解锁参数)
  cat << 'EOF' > ~/.openclaw/.env
  GEMINI_API_KEY="替换为你自己设置的大龙虾网关Token(随意32位字符串)"
  GEMINI_SAFETY_SETTINGS=BLOCK_NONE
  FORCE_JSON_MODE=true
  EOF
  

  (注意：上面的 API Key 用 vi ~/.openclaw/.env 换成你真实的 Key。)

  ---

  最后一步：终极点火，见证奇迹

  现在，我们的环境、源码、绝对正确的配置文件全部就绪。

  我们直接在 ~/Projects/openclaw 目录下，用底层的 Node 引擎，稳稳地拉起生产环境，直接把这串 32 位的大龙虾网关Token在启动的瞬间强行塞进它的嘴里。

  请一字不差地复制下面这行终极启动命令并回车（注意，这是一整行）：

  OPENCLAW_GATEWAY_TOKEN=替换为你自己设置的大龙虾网关Token密钥 node scripts/run-node.mjs gateway
  

  ---

  🎯 验收胜利成果

  按下回车后，这次的启动日志会非常干净。你只会看到几行字。

  1. 看日志： 寻找 [gateway] agent model: google/gemini-1.5-pro。只要看到这行字，说明大龙虾的基因已经被你彻底改写成了 Gemini！
  2. 看端口： 留意日志最后一行写着的监听端口，大概率是 19001、19003 或者其它。
  3. 开大门： 打开浏览器的，访问拼接好的终极地址： 👉 http://127.0.0.1:刚才显示的端口号/?token=大龙虾网关Token密钥

  然后你就会看到下图红色的 OpenClaw 控制台界面，我简直隔着屏幕都能感受到那种“守得云开见月明”的爽快感！

  

  现在，这只装载着 Gemini 1.5 Pro 大脑的“超级龙虾”，已经安安静静地趴在你的宿主机里，等待你的第一个指令了。

  接下来，为了验证它不仅是个“聊天机器人”，而是一个真正的本地 AI Agent（智能体），我们需要在当前的 Chat 界面对它进行一场“极客体检”。

  请在界面底部的输入框里，依次发送以下两个测试指令：

  测试一：基础脑力与身份验证 (Brain Test)

  为了确认它确实连上了 Google 的算力集群，并且没有精神分裂。

  请在输入框发送：

  “你好，请问你是谁？你当前使用的是哪个大语言模型作为你的核心大脑？”

  • 预期结果： 它应该会用流畅的中文回答你，并明确承认自己是 OpenClaw，并且底层模型是 Gemini 1.5 Pro。

  如果是Google 的 API 接口（特别是 v1beta 版本）对模型名字的拼写要求极其变态。它不认 gemini-1.5-pro 这个泛指的简称，它要求你必须精确到具体的版本号（比如加上 -latest 最新版，或者 -002 稳定版）。否则会出现如下报错信息：

  “LLM error: { "error": { "code": 404, "message": "models/gemini-1.5-pro is not found for API version v1beta, or is not supported for generateContent. Call ListModels to see the list of available models and their supported methods."... Main Session ”

  不要慌！小修复：

  🛠️ 10 秒钟极速修正手术

  请回到你的 Debian 终端，按 Ctrl + C 先停掉当前的服务。

  然后，直接复制执行下面这行魔法命令（它会自动把你配置文件里的模型名字替换成绝对正确的 gemini-2.5-pro-latest）：

  Bash

  sed -i 's/"primary": "google\/gemini-2.5-pro-latest"/"primary": "google\/gemini-3.1-pro"/g' ~/.openclaw/openclaw.json
  

  替换完成后，再次执行我们的终极启动命令：

  OPENCLAW_GATEWAY_TOKEN=替换为你自己设置的大龙虾网关Token密钥 node scripts/run-node.mjs gateway
  

  ---

  🎯 再次发起对话

  等日志跑到 Browser control listening on http://127.0.0.1:XXXXX 后，去浏览器用新端口打开控制台。

  再次在底部的输入框对它说：

  “你好，请问你是谁？你当前使用的是哪个大语言模型作为你的核心大脑？”

  这一次，Google 的算力集群将不再拒绝它，你应该能立刻看到它流畅地把中文打印在屏幕上！如果成功了，把它第一句跟你的打招呼截图发给我，这是我们今晚极客之旅的第一个重大里程碑！

  测试二：本地环境操作权限验证 (Agentic Action Test)

  这是区分“普通 ChatGPT”和“本地智能体”最核心的测试。我们要看看它有没有“长出手脚”去操作它所在的 Debian 系统。

  请发送：

  “请帮我执行本地命令，查看一下当前系统的 Debian 版本号，以及这台机器的 CPU 架构（提示：使用 uname 和 cat /etc/os-release）”

  • 预期结果： 注意看它的回复过程！它不会直接瞎编一个答案，而是应该会在界面上显示它调用了某个执行工具（Tool / Bash），真正去你的 Debian 容器里运行了命令，然后把结果（arm64 和 bookworm 等信息）总结给你。

  ---

  💡 顺便带你认识一下控制台（左侧导航栏）

  在你等待它回答的时候，你可以看看左侧的菜单，这就是你未来的“赛博指挥中心”：

  • Chat（当前）： 这是你直接对它下发指令的调试台。
  • Skills（技能）： 这是未来最核心的地方！你要让它控制 Mac、操作 Parallels 里的 Windows、总结微信聊天记录，都要在这里给它写“技能脚本”。
  • Cron Jobs（定时任务）： 你之前提到“每天定时推送新闻”，未来就在这里配置，它会自己按时醒来干活。

  ---

  遇到 API rate limit reached（API 速率限制已达上限）是完全正常的现象！

  这是因为你刚才使用的那个 API Key 大概率是免费层级（Free Tier）的，而 OpenClaw 作为一个 Agent，它在执行你的命令（比如帮你查系统版本）时，会在底层进行大量的“自我思考（Thinking）”和“工具调用（Tool calling）”。这个过程会瞬间消耗大量的 Token 和请求次数，很容易就会触发免费 Key 的每分钟请求限制（RPM）。

  既然你已经在 Google AI Studio 申请了全新的（或者是绑了卡的）API Key，我们现在就用最极客、最快的方式把它替换掉。

  请按以下三个极简步骤操作：

  🛠️ 极速更换 API Key 手术

  第一步：停掉当前的大龙虾

  回到你的 Debian 终端，按下键盘上的 **Ctrl + C**，彻底掐断当前的运行进程。

  第二步：打开环境变量配置文件

  我们在终端里使用 nano 编辑器直接修改你之前建好的 .env 文件。输入以下命令并回车：

  nano ~/.openclaw/.env
  

  打开后，你会看到类似这样的内容：

  GEMINI_API_KEY="新的API Key"
  GEMINI_SAFETY_SETTINGS=BLOCK_NONE
  FORCE_JSON_MODE=true
  

  第三步：替换新的 Key 并保存

  1. 用键盘的方向键移动光标，把双引号 "" 里面的旧 Key（AIzaSy...）全部删掉。
  2. 将你刚刚在 Google AI Studio 获取的全新 API Key 粘贴到双引号里面。（注意：一定要保留两边的英文双引号，且不要有空格）。
  3. 按下 **Ctrl + O**（字母 O，代表 Write Out），然后按 Enter 键确认保存。
  4. 按下 Ctrl + X 退出编辑器。

  ---

  🚀 重新点火，满血复活

  换上全新的“供血泵”后，直接在终端里再次敲下我们的终极启动指令：

  cd ~/Projects/openclaw
  OPENCLAW_GATEWAY_TOKEN=替换为你自己设置的大龙虾网关Token密钥 node scripts/run-node.mjs gateway
  

  等日志跑完，再次回到你的浏览器界面（如果界面卡住了，可以刷新一下网页，或者点击右下角开启一个 New session）。

  再次向它发送你那条极客指令：

  “你好，请帮我执行本地命令，查看一下当前系统的 Debian 版本号，以及这台机器的 CPU 架构（提示：使用 uname 和 cat /etc/os-release）”

  🦞内网穿透使用公网域名任意终端访问自己养的大龙虾方法：

  ---

  前置准备：域名解析

  请登录阿里云/腾讯云的域名控制台，将你的二级域名（例如 claw.xxx.com）添加 A记录，指向你这台任何云服务器的公网 IP。

  ---

  🟢 第一阶段：云服务器部署 (frps 服务端)

  请通过 SSH 登录到你的云服务器（系统需为 CentOS/Ubuntu/Debian 的 x86_64 架构）。依次执行以下命令：

  1. 下载并解压最新版 v0.67.0 (amd64)

  Bash

  cd /root
  wget https://github.com/fatedier/frp/releases/download/v0.67.0/frp_0.67.0_linux_amd64.tar.gz
  tar -zxvf frp_0.67.0_linux_amd64.tar.gz
  mv frp_0.67.0_linux_amd64 /usr/local/frps
  cd /usr/local/frps
  

  2. 编写最新的 TOML 配置文件

  直接复制下面这段命令回车，它会生成一份最纯净的服务器配置：

  cat << 'EOF' > /usr/local/frps/frps.toml
  # FRP 隧道主通讯端口
  bindPort = 7000
  
  # 接收 HTTP 穿透请求的端口 (Nginx 将会把流量转到这里)
  vhostHTTPPort = 8080
  
  # 鉴权令牌，防止别人白嫖你的节点
  auth.token = "Aliyun_Mac_Dxxx_2026_V2"
  EOF
  

  3. 注册 Systemd 守护进程 (极度稳定之源)

  复制下面整段回车，将其注册为系统服务：

  cat << 'EOF' > /etc/systemd/system/frps.service
  [Unit]
  Description=Frp Server Service
  After=network.target
  
  [Service]
  Type=simple
  User=root
  Restart=on-failure
  RestartSec=5s
  ExecStart=/usr/local/frps/frps -c /usr/local/frps/frps.toml
  
  [Install]
  WantedBy=multi-user.target
  EOF
  

  4. 启动并设置开机自启

  systemctl daemon-reload
  systemctl enable frps
  systemctl start frps
  systemctl status frps   # 查看状态，显示 active (running) 即代表成功
  

  🚨 非常重要： 请务必去云控制台的“安全组”规则里，放行入方向的 TCP 7000 端口。

  ---

  🟡 第二阶段：云服务器环境 Nginx 挂载 SSL

  比如我们要对接道飞书或钉钉聊天机器人因为要求 Webhook 必须是 HTTPS。我们需要在云服务器用 Nginx 反向代理刚才设置的 8080 端口。

  如果你用的宝塔面板，直接在新建claw.xxx.com网站设置的“反向代理”里配即可：

  接下来，为了让宝塔的 Nginx 完美桥接 FRP，并且支持大龙虾极其依赖的 WebSocket 实时通信，请严格按照以下两步来设置：

  第一步：填写基础反向代理表单

  在如下图所示中，填写的参数基本正确，需要微调一个地方：

  1. 代理名称： claw （保持不变，这个只是给你自己看的备注）
  2. 目标URL： http://127.0.0.1:8080 （保持不变，这是你阿里云上 frps 监听的 HTTP 端口）
  3. 发送域名： ⚠️ **把默认的 127.0.0.1 删掉，改成 $host 或者直接写你实际的解析二级域名 claw.xxx.com**。（这一步非常关键！如果不改，FRP 服务端会不知道你要访问哪个域名，从而报 404 错误）。

  内容替换留空。填写完毕后，点击绿色的 “确定” 按钮。

  

  确定保存后，编辑这里的反向代理的配置文件：

  

  对于运行 AI Agent（大龙虾）来说，这份默认配置有一个致命的隐患：超时断连（504 Gateway Timeout）。 因为 AI 模型在调用工具、深度思考时，处理时间经常会超过 Nginx 默认的 60 秒。如果用默认配置，大龙虾还在后台疯狂敲代码，前台的 Nginx 就会因为等得太久直接把连接给掐断了。

  为了打造一套极其稳定的 AI 专线，我们需要对它进行一点极客级别的微调：把 $connection_upgrade 写死为 "upgrade"（防止某些宝塔版本的底层 Map 变量丢失），并加上防超时参数。

  请直接把那个文件里的内容全部替换为我为你优化好的下面这段代码：

  #PROXY-START/
  
  location ^~ /
  {
      proxy_pass http://127.0.0.1:8080;
      proxy_set_header Host $host;
      proxy_set_header X-Real-IP $remote_addr;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Forwarded-Proto $scheme;
      proxy_set_header REMOTE-HOST $remote_addr;
      
      # ==== 大龙虾 WebSocket 与长连接终极优化 ====
      proxy_http_version 1.1;
      proxy_set_header Upgrade $http_upgrade;
      proxy_set_header Connection "upgrade";
      
      # 极其重要：防止 AI 深度思考时被 Nginx 强制掐断 (设置超时为 1 小时)
      proxy_read_timeout 3600s;
      proxy_send_timeout 3600s;
      # ============================================
  
      add_header X-Cache $upstream_cache_status;
  
      #Set Nginx Cache
      set $static_filesQelMlfO 0;
      if ( $uri ~* "\.(gif|png|jpg|css|js|woff|woff2)$" )
      {
          set $static_filesQelMlfO 1;
          expires 1m;
      }
      if ( $static_filesQelMlfO = 0 )
      {
          add_header Cache-Control no-cache;
      }
  }
  
  #PROXY-END/
  

  🎯 替换并保存后，进行终极测试！

  点击宝塔的保存按钮。无需手动重启 Nginx，宝塔会自动让它生效。

  现在，整条公网高速公路（Mac -> frpc -> 阿里云 frps -> Nginx -> 你的手机）已经全部竣工！

  保存后，手工点下重启nginx软件 使其生效。

  最容易忽略的细节，宝塔面板环境安全端口和防火墙放行：

  宝塔面板，所以你必须同时打开两道门，缺一不可：

  🔑 第一道门：宝塔面板自身的防火墙

  宝塔面板为了安全，默认会拦截所有未放行的端口。

  1. 登录你的宝塔面板。
  2. 点击左侧菜单的 “安全”。
  3. 在页面上方的“添加端口规则”中：
     • 端口： 填写 7000
     • 备注/说明： 填写 FRP穿透
  4. 点击 “提交/放行”。

  🔑 第二道门：阿里云的云端安全组（最容易漏掉）

  即使宝塔放行了，阿里云在最外层还有一个硬件级的防火墙（安全组）。

  1. 登录 阿里云控制台，进入你的 ECS 云服务器实例列表。
  2. 点击你的服务器，在左侧或上方找到 “安全组”，点击进入安全组配置。
  3. 点击 “入方向” -> “手动添加”。
  4. 规则设置如下：
     • 授权策略： 允许
     • 协议类型： 自定义 TCP
     • 端口范围： 7000/7000
     • 授权对象： 0.0.0.0/0 （代表允许所有 IP 连入）
     • 备注： FRP
  5. 点击保存。

  ---

  🔵 第三阶段：MAC 本地 Debian 部署 (frpc 客户端)

  现在，回到你 Mac 上那个安装了大龙虾的 OrbStack Debian 容器终端里。

  orb -m debian
  

  注意：MAC电脑 是 Apple Silicon，必须下载 arm64 架构的版本！

  1. 下载并解压最新版 v0.67.0 (arm64)

  cd ~
  wget https://github.com/fatedier/frp/releases/download/v0.67.0/frp_0.67.0_linux_arm64.tar.gz
  tar -zxvf frp_0.67.0_linux_arm64.tar.gz
  mv frp_0.67.0_linux_arm64 ~/frpc_client
  cd ~/frpc_client
  

  2. 编写最新的 TOML 客户端配置文件

  (请先把下面命令里的 你的阿里云公网IP 替换成实际数字，再复制执行)

  cat << 'EOF' > ~/frpc_client/frpc.toml
  # 连接到你的阿里云服务端
  serverAddr = "你的阿里云公网IP"
  serverPort = 7000
  auth.token = "Aliyun_Mac_Dxxx_2026_V2"
  
  # 代理配置块 (这是 v0.67.0 最新的数组写法)
  [[proxies]]
  name = "openclaw-gateway"
  type = "http"
  localIP = "127.0.0.1"
  localPort = 18789
  customDomains = ["claw.xxx.com"]
  EOF
  

  3. 在 Debian 里运行守护进程

  由于这是你本地的容器环境，我们直接用 nohup 把它挂在后台即可（即使关掉终端也不会断）：

  cd ~/frpc_client/
  nohup ./frpc -c ./frpc.toml > frpc.log 2>&1 &
  

  执行后，你可以用 cat frpc.log 查看日志，只要看到类似 [openclaw-gateway] start proxy success 的字样，公网穿透就彻底完成了！

  nohup 虽然能防窗口关闭，但如果你的 Mac 重启，或者 OrbStack 容器重启，它还是会掉线。把它写成跟 OpenClaw 一样的后台服务，它就能开机自启、崩溃自动重启，变成真正的“不死之身”。

  我们就把 FRP 也写成当前用户的专属后台服务。一共只需要三步：

  🛠️ 第一步：先杀掉刚才的临时进程

  为了防止端口冲突，我们先把刚才用 nohup 跑起来的那个 FRP 关掉：

  Bash

  pkill frpc
  

  📝 第二步：创建 FRP 服务配置文件

  直接在终端复制并运行下面整段代码。它会在系统的用户服务目录里自动生成一个 frpc.service 文件（绝对路径已经帮你写好了，把里面文字“你的用户名”替换为你实际的linux用户名）：

  mkdir -p ~/.config/systemd/user
  
  cat << 'EOF' > ~/.config/systemd/user/frpc.service
  [Unit]
  Description=FRP Client Service
  After=network.target network-online.target
  Wants=network-online.target
  
  [Service]
  Type=simple
  WorkingDirectory=/home/你的用户名/frpc_client
  ExecStart=/home/你的用户名/frpc_client/frpc -c /home/你的用户名/frpc_client/frpc.toml
  Restart=always
  RestartSec=5s
  
  [Install]
  WantedBy=default.target
  EOF
  

  🚀 第三步：重新加载并启动服务

  配置写好后，让系统重新读取配置，并设置为开机自启和立即运行：

  Bash

  # 1. 刷新系统服务列表
  systemctl --user daemon-reload
  
  # 2. 设置为开机自动启动（极其重要！）
  systemctl --user enable frpc.service
  
  # 3. 立即启动服务
  systemctl --user start frpc.service
  
  # 4. 查看运行状态（看到绿色的 active running 就是成功了）
  systemctl --user status frpc.service
  

  ---

  💡 终极极客护城河（强烈建议执行）

  因为这是用户级服务（运行在 root 这个账号下或你实际的linux用户），Linux 默认在用户退出登录时会暂停服务。为了让它在 OrbStack 容器一开机（甚至你还没打开终端的时候）就自动在后台默默运行，我们需要给你的账号开启“驻留特权（Linger）”。

  执行这行命令（如果提示需要密码，输入你的 Debian 密码，如果没有就算了）：

  sudo loginctl enable-linger 你的debian用户名
  

  (如果找不到 sudo 或者报错，直接执行 loginctl enable-linger $USER 试试。)

  大功告成！

  现在，你的 FRP 内网穿透大桥已经彻底固化进系统的底层了！你可以毫不犹豫地直接点右上角的 X 关掉终端窗口。只要你的 Mac 连着网，你的专属域名 https://claw.xxx.com 就会永远为你敞开！

  ---

  🎯 终极验收

  现在，你的整条网络链路已经打通：

  1. 确保大龙虾在 Debian 里正常运行（监听在 18xxx 端口）。

     
     

  2. 确保 frpc 正在运行。

     
     

  3. 拿出你的手机或者任何外网设备，在浏览器访问：

     
     

     👉 https://claw.xxx.com/?token=替换为你自己设置的大龙虾网关Token密钥

     
     

  首次打开会报红色的 pairing required 和右上角的 Health Offline，OpenClaw 的安全级别默认已经“真正的零信任（Zero-Trust）”**级别！

  所以需要：到你 Mac 上的 Debian 终端（开启一个新窗口），

  在终端里敲下这个命令，查看当前有哪些设备正在排队等待你的授权：

  node scripts/run-node.mjs devices list
  

  看到那个 Pending (1) 了吗？这正是你苦苦等在网页端、因为权限不够而被拦在门外的那台设备（报错pairing required的原因）。

  从表格来看，这个待处理请求的完整 Request ID 类似比如： 572643a8-26b4-4c7c-8219-3400d2a58278

  ⚡ 最终的盖章授权

  直接复制下面这行命令，在终端里敲回车。这就是传说中“点石成金”的上帝指令：（ID请替换为你实际显示的～）

  node scripts/run-node.mjs devices approve 572643a8-26b4-4c7c-8219-3400d2a58278
  

  🎊 恭喜，大功告成！

  按下回车后，终端里应该会提示已成功批准。**[注意：如果是新设备新请求访问，还需要这样操作放行下设备。]**

  此时，立刻去刷新你手机/电脑上的 Web 控制台网页： 👉 https://claw.xxx.com/?token=替换为你自己设置的大龙虾网关Token密钥

  那个碍眼的红色 pairing required 报错将会彻底灰飞烟灭！右上角的健康状态会亮起绿色的 Health OK，底部的输入框将完全为你敞开！

  为了测试大龙虾的真实能力，请在输入框发一句：

  “请帮我执行命令 uname -a，告诉我系统内核信息”

  只要它回复了你，这说明不仅公网穿透成功、身份验证成功，连底层的系统调用也完全通了。

  如果服务端没有运行起来，记得在Mac 上那个安装了大龙虾的 OrbStack Debian 容器终端里最后一次敲下我们的终极启动命令：

  cd ~/Projects/openclaw
  OPENCLAW_GATEWAY_TOKEN=替换为你自己设置的大龙虾网关Token密钥 node scripts/run-node.mjs gateway
  

  🧠 如果启动不了，没有出现监听状态，运行按照它的建议让它自己修复一遍配置。如下操作执行：

  还原纯净配置

  cat << 'EOF' > ~/.openclaw/openclaw.json
  {
    "agents": {
      "defaults": {
        "model": {
          "primary": "google/gemini-2.5-pro"
        }
      }
    },
    "commands": {
      "native": "auto",
      "nativeSkills": "auto",
      "restart": true,
      "ownerDisplay": "raw"
    },
    "gateway": {
      "mode": "local",
      "bind": "loopback",
      "controlUi": {
        "allowedOrigins": [
          "https://claw.xxx.com"
        ]
      },
      "auth": {
        "token": "替换为你自己设置的大龙虾网关Token密钥"
      }
    }
  }
  EOF
  

  ---

  让大龙虾自己进行一次医疗修复 (它会自动补齐缺少的参数)

  node scripts/run-node.mjs doctor --fix
  

  重新唤醒服务并检查心跳

  执行重启，并立刻查看它的运行状态：

  # 重启服务
  systemctl --user restart openclaw-gateway.service
  
  # 等待 3 秒钟，查看它的状态（只要看到绿色的 active (running) 就说明成功了）
  systemctl --user status openclaw-gateway.service
  

  如果状态显示是绿色的 **active (running)**，请立刻刷新你的浏览器页面 https://claw.xxx.com/?token=替换为你自己设置的大龙虾网关Token密钥。

  那个属于你的终极赛博控制台，绝对会瞬间亮起绿灯！快去试试，这次保证丝滑！

  

  优雅的服务管理：Systemd 启停指南

  既然大龙虾已经被 doctor --fix 收编成了规范的后台服务，我们就彻底告别 Ctrl+C 的草莽时代。以后修改配置，请严格按照这个运维标准流程走：

  1. 修改配置前的准备（停止服务）：

  Bash

  systemctl --user stop openclaw-gateway.service
  

  2. 安全地修改配置： 使用你顺手的编辑器（如 nano ~/.openclaw/openclaw.json）修改参数。

  3. 启动并使其生效：

  Bash

  systemctl --user start openclaw-gateway.service
  

  日常维护神级命令：

  • 平滑重启（改完配置最常用）： systemctl --user restart openclaw-gateway.service
  • 查看运行状态（排错首选）： systemctl --user status openclaw-gateway.service
  • 实时查看后台输出（代替以前的终端界面）： journalctl --user -u openclaw-gateway.service -f

  通过大龙虾官方医生（Doctor）打通权限

  当你用 ["full"] 强行索要最高权限时，大龙虾的安全机制通常会拦截一下，它需要在底层进行一次确认。

  请在重启服务后，立刻执行一下大龙虾的安全自检命令：

  cd ~/Projects/openclaw
  node scripts/run-node.mjs security audit --deep
  

  如果它提示拦截了某些权限，直接运行医生的修复命令让它自己摆平：

  node scripts/run-node.mjs doctor --fix
  systemctl --user restart openclaw-gateway.service
  

  🎯 验收时间

  现在，你的大龙虾应该已经重新复活了。请刷新你的浏览器 https://claw.xxx.com/?token=替换为你自己设置的大龙虾网关Token密钥。

  进去之后，你试着在聊天框里对它说：“请帮我执行 ls -la 看看当前目录有什么文件”。

  接下来，我们将运用 “英文内核约束 + 中文交互输出 (Cross-lingual Bridging)” 的顶级 Prompt 工程技巧，对大龙虾的出厂“原生灵魂”所有底层配置文件 6 个核心文件进行深度重构。这能最大化激发 大龙虾底层的逻辑推理能力，还能完美契合实战需求。

  请依次用以下内容完全覆盖你 Debian 容器 ~/.openclaw/workspace/ 目录下的对应文件：

  ---

  1. IDENTITY.md (赛博机甲的身份识别码)

  这是大龙虾的“潜意识”锚点。用英文定义最高指令，强制规范它的语言输出和专业领域。

  Markdown

  # IDENTITY.md - Core Persona: Senior IT Ops Architect
  
  xxxxxxx
  

  ---

  2. SOUL.md (运行哲学与安全基线)

  原版文件强调“做个有用的人”，我们将其升级为“做一台没有感情的排错机器”。注入 CISSP 级别的安全意识和运维法则。

  Markdown

  # SOUL.md - Operational Philosophy & Security Baseline
  xxxxx
  

  ---

  3. USER.md (最高权限拥有者档案)

  让大龙虾明确知道它在为谁服务，避免它用教小白的语气跟你说话。

  自由创意~以你实际需要为准。
  

  ---

  4. AGENTS.md (工作区与记忆调度规则)

  原版设定了很好的记忆滚动机制，我们在此基础上强化其作为“运维日志”的属性。

  Markdown

  # AGENTS.md - Workspace & Memory Protocol
  
  This folder is your operational headquarters. 
  
  ## Memory Management (The Ops Log)
  
  - **Daily Logs (`memory/YYYY-MM-DD.md`):** Treat this as your `dmesg` or `syslog`. Log executed commands, system states, and minor fixes.
  - **Long-Term Knowledge (`MEMORY.md`):** This is your Architecture Decision Record (ADR). ONLY write to this file when a major system change occurs, a critical vulnerability is patched, or a new permanent cron job/service is established.
  
  ## Proactive Engineering (Heartbeats)
  When evaluating `HEARTBEAT.md`, do not just say "HEARTBEAT_OK". Periodically review system logs, check SSL certificate expiries, or analyze recent Nginx access logs for anomalies if tools permit.
  
  ## Rules of Engagement
  - **Internal:** Safe to read configs, list directories, and analyze local files freely.
  - **External:** Ask before making POST requests to external APIs or modifying live database records.
  

  ---

  5. TOOLS.md (专属环境备忘录)

  这里是为你私人定制的环境变量和快捷路径，原版提供了一些智能家居的示例，我们替换为你真实的服务器环境结构。

  Markdown

  # TOOLS.md - Environment Topography
  
  Your cheat sheet for Steven's infrastructure. Use these paths and aliases when generating commands.
  
  ## Service Endpoints & Paths (Examples)
  - **Web Root:** `/var/www/xxx.com` (Assume this as the default path for WordPress/Discuz! operations)
  - **Nginx Configs:** `/etc/nginx/conf.d/`
  - **PHP Configs:** `/etc/php/8.x/fpm/`
  - **OpenClaw Gateway:** `~/.openclaw/` (Managed via `systemctl --user openclaw-gateway.service`)
  
  ## Network Context
  - Host Machine accessible via OrbStack bridge.
  - Local Proxy (if needed for external fetch): `http://127.0.0.1:7890`
  

  ---

  6. HEARTBEAT.md (自动化巡检探针)

  原版是一个空文件，我们将其激活，变成一个轻量级的服务器监控守护进程。

  Markdown

  # HEARTBEAT.md - Automated Health Checks
  
  When a heartbeat is triggered, perform a silent evaluation of the following if the `shell` skill is active. Only report back if anomalies are found; otherwise, reply `HEARTBEAT_OK`.
  
  1. **System Load:** Check if CPU/Memory usage is abnormally high.
  2. **Disk Space:** Alert if the root partition or `/var/log` is over 85% full.
  3. **Service Status:** Ensure `openclaw-gateway.service` and local web services are running without failed states.
  

  ---

  🚀 灵魂注入完毕，准备点火！

  将这 6 个文件更新并保存到 ~/.openclaw/workspace/ 后，这台机器就不再是一个通用的聊天 AI 了，而是专属于你的高级自动化运维大脑。

  你可以直接在 Web UI 的聊天窗口里对它进行一次“开机验收测试”。想不想直接发给它一句：

  “系统自检：请调用 Shell 技能，帮我列出当前 Debian 容器内占用内存最高的前 5 个进程，并分析是否存在异常。”

  看看重构灵魂后的它，交出的答卷是否足够极客？

  🦞 大龙虾技能Skills前置环境安装：

  OpenClaw 的 Node.js 网关进程在启动瞬间会读取并缓存当前的 $PATH 环境变量。你在系统里用 apt 装了新软件，终端认了，但跑在后台的守护进程不会自动刷新 $PATH。必须通过 systemctl --user restart openclaw-gateway.service 杀死并重生进程，才能将新的二进制路径注入大龙虾的运行态上下文。

  ---

  🔍 缺失命令 (bin) 依赖全景剖析

  所有 os:darwin (macOS 专属环境)、env:* (API Key) 和 config:* (UI 配置项) 的无效项。剩下的全部是 Debian 容器可直接调用的底层二进制可执行文件 (bin)。

  将其按底层架构属性归纳为四大类：

  1. 系统级核心引擎 (Debian 原生支持)

  • bin:gh: GitHub 官方命令行，接管源码仓库操作。
  • bin:jq: 极客级命令行 JSON 处理器，用于结构化数据提取。
  • bin:rg: Ripgrep，用 Rust 编写的极速文本搜索工具，性能远超原生 grep。
  • bin:tmux: 终端复用器，用于在后台挂起和管理长时间运行的脚本或交互式进程。
  • bin:ffmpeg: 工业级音视频处理框架，提供视频抽帧、转码和音频提取算力。

  2. 现代环境管理器

  • bin:uv: 由 Astral 开发的极速 Python 包和环境管理器 (Rust 编写)。大龙虾用它来秒级构建隔离的 Python 沙盒运行自动化脚本。

  3. 密码学与安全服务

  • bin:op: 1Password 官方 CLI。用于在不泄露明文的情况下，让大龙虾安全提取和注入服务器凭证。

  4. OpenClaw 专属生态 CLI (通过 Node.js/Go 封装)

  • bin:clawhub: 大龙虾专属插件市场管理工具。
  • bin:blogwatcher: RSS/原子流静默监控爬虫。
  • bin:summarize: 文本/网页/长文档的摘要提取中间件。
  • bin:xurl: 突破 API 限制的 Twitter (X) 交互式发帖/抓取工具。
  • 其他长尾中间件: blu (音响控制), camsnap (RTSP 摄像头截帧), eightctl, gemini, gifgrep, gog, himalaya (终端邮件客户端), mcporter, nano-pdf, obsidian-cli, openhue, oracle, ordercli, songsee, sonos, wacli (WhatsApp CLI)。

  ---

  🚀 极客一键部署脚本 (笔记存档)

  该脚本将批量注入 Debian 源包，拉取最新的现代开发工具，并安装核心生态 CLI：

  # 1. 更新软件源并批量安装 Debian 系统级核心组件
  sudo apt update && sudo apt install -y gh jq ripgrep tmux ffmpeg curl
  
  # 2. 安装 Python 高性能环境构建引擎 (uv)
  curl -LsSf https://astral.sh/uv/install.sh | sh
  
  # 3. 通过 NPM 全局安装 OpenClaw 生态的常用高阶 CLI 中间件
  # (需确保你的 Debian 中已安装 Node.js 和 npm)
  for skill in blogwatcher summarize xurl nano-pdf camsnap; do
    echo -e "\n[+] 正在编译并部署技能环境: $skill"
    npx --yes clawhub install "$skill"
  done
  
  # 4. [可选] 安装 1Password CLI (涉及官方 GPG 签名，按需独立执行)
  curl -sS https://downloads.1password.com/linux/keys/1password.asc | sudo gpg --dearmor --output /usr/share/keyrings/1password-archive-keyring.gpg
  echo "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/1password-archive-keyring.gpg] https://downloads.1password.com/linux/debian/$(dpkg --print-architecture) stable main" | sudo tee /etc/apt/sources.list.d/1password.list
  sudo apt update && sudo apt install -y 1password-cli
  
  # 5. 强制重启大龙虾服务，重新加载环境 $PATH 与所有新挂载的武器库
  systemctl --user restart openclaw-gateway.service
  

  执行完毕并重启服务后，UI 界面中绝大部分高价值核心 Skills 将瞬间亮起 eligible 绿灯。

  排查问题：

  大龙虾原生命令：

  cd ~/Projects/openclaw
  node scripts/run-node.mjs logs --follow
  

  (执行后，在飞书里再发一句消息。此时终端会实时打印底层交互日志。留意是否有红色的 Error 或者 cardkit 相关的报错，直接把报错输出发给我。)

  🦞飞书渠道零干预接入架构方案：

  参考图文教程：https://clawd.org.cn/channels/feishu.html

  阶段一：飞书控制台（凭证与赋权）

  1. 创建企业自建应用：
     • 登录 飞书开放平台。
     • 点击“创建企业自建应用”，命名为“小艺”。
     • 在“凭证与基础信息”页面，复制 App ID（cli_ 开头）和 App Secret。
  2. 批量注入底层权限：
     • 进入“权限管理”页面，点击“批量导入”。
     • 将文档中提供的 JSON 完整粘贴进去并确定（这包含了读写文件、收发消息等核心权限）。
     • 必须确保 im:message.group_msg 权限被勾选，这是机器人在群组中获取上下文的关键。
  3. 激活机器人组件：
     • 进入“应用能力” -> “机器人”，点击启用。

  阶段二：小艺底层配置注入

  为了确保飞书控制台能成功验证连接，我们必须先让小艺在本地跑起来。

  1. 打开 Web UI 控制台，进入 配置 页面，点击底部的 Raw 模式。
  2. 在原有的 JSON 结构中，平级增加 "channels" 配置块。将你在阶段一获取的 appId 和 appSecret 填入：

  一键写入配置文件并重启服务

  cat << 'EOF' > ~/.openclaw/openclaw.json
  {
    "meta": {
      "lastTouchedVersion": "2026.3.3",
      "lastTouchedAt": "2026-03-08T07:46:59.116Z"
    },
    "wizard": {
      "lastRunAt": "2026-03-08T07:34:59.861Z",
      "lastRunVersion": "2026.3.3",
      "lastRunCommand": "doctor",
      "lastRunMode": "local"
    },
    "ui": {
      "assistant": {
        "name": ""
      }
    },
    "agents": {
      "defaults": {
        "model": {
          "primary": "google/gemini-2.5-pro"
        }
      }
    },
    "commands": {
      "native": "auto",
      "nativeSkills": "auto",
      "restart": true,
      "ownerDisplay": "raw"
    },
    "channels": {
      "feishu": {
        "enabled": true,
        "streaming": true,
        "blockStreaming": true,
        "accounts": {
          "main": {
            "appId": "你申请的飞书App ID",
            "appSecret": "你申请的App Secret",
            "botName": "你新建的飞书机器人名字(随意取)"
          },
          "default": {
            "dmPolicy": "pairing"
          }
        }
      }
    },
    "gateway": {
      "mode": "local",
      "bind": "loopback",
      "controlUi": {
        "allowedOrigins": [
          "https://claw.xxx.com"
        ]
      },
      "auth": {
        "token": "替换为你自己设置的大龙虾网关Token密钥"
      }
    },
    "plugins": {
      "entries": {
        "feishu": {
          "enabled": true
        }
      }
    }
  }
  EOF
  
  # 重启网关服务使飞书配置生效
  systemctl --user restart openclaw-gateway.service
  
  # 确认服务正常运行
  systemctl --user status openclaw-gateway.service --no-pager
  

  阶段三：长连接打通与版本发布

  1. 配置事件订阅（极其关键）：
     • 回到飞书开放平台，进入“事件订阅”页面。
     • 必须选择 使用长连接接收事件。
     • 点击“添加事件”，搜索并勾选 im.message.receive_v1（接收消息）。保存配置。
  2. 发布应用：
     • 进入“版本管理与发布”，点击“创建版本”。
     • 填写版本号后提交发布（企业自建应用通常免审秒过）。

  阶段四：终端配对（安全鉴权）

  这是零信任架构的最后一步：

  1. 打开你的飞书客户端，搜索刚刚创建的机器人应用（或者在企业工作台中找到它）。

     
     

  2. 发送一句测试消息，比如你的机器人名字叫“小艺”，这样唤醒它：“小艺，收到请回复。”

     
     

  3. 此时，小艺的默认防御机制会拦截这条消息，并在飞书里回复给你一串**配对码 (Pairing Code)**。

     
     

  4. 回到你的 Debian 终端，执行授权命令（将 <配对码> 替换为实际收到的代码）：

     
     

     cd ~/Projects/openclaw
     node scripts/run-node.mjs pairing approve feishu <配对码>
     

     
     

  授权一旦通过，鉴权通道即刻闭环。你可以直接在飞书里让它“执行 uptime 命令并汇报”。在飞书上完成架构师的实战演练后，随时反馈指令执行的流畅度。

  飞书应用刚发布不回复消息的处理：

  底层冲突机制： bonjour 是 Node.js 用来在局域网内通过 mDNS（多播 DNS）广播自身发现服务的组件。由于你运行在 macOS 的 OrbStack 桥接网络容器中，容器发出的多播包被宿主机的虚拟网卡原样反射了回来。

  无限死循环（Event Loop Starvation）： 大龙虾收到反射包，误以为局域网里有一台同名设备，于是自动给自己的名字加 1（变成了 417），再次广播，再次被反射，再次加 1（变成了 418）。

  彻底瘫痪： 这个过程在一秒内发生几百次，彻底榨干了 Node.js 单线程的事件循环（Event Loop）。导致小艺向 Gemini 发起 API 请求的异步任务被无限期挂起，飞书自然永远等不到回复。

  🛠️ 架构师级终极方案：降维打击

  既然 OpenClaw 应用层不允许我们通过修改 JSON 来关闭 mDNS 发现服务，作为系统 Root 管理员，我们直接降维打击——在 Linux 网络内核层物理封堵广播端口。

  mDNS 协议固定使用 UDP 端口 5353 进行组播。我们在 Debian 容器里直接拉起防火墙（iptables），把发往该端口的包全部丢弃，从物理链路上掐死广播风暴。

  请在终端依次执行以下极其硬核的指令：

  Bash

  # 1. 安装 iptables (如果 Debian 容器内未预装)
  sudo apt update && sudo apt install -y iptables
  
  # 2. 从网络底层硬性丢弃所有发往 UDP 5353 (mDNS) 的数据包
  sudo iptables -A OUTPUT -p udp --dport 5353 -j DROP
  
  # 3. 彻底重启大龙虾服务释放事件循环
  systemctl --user restart openclaw-gateway.service
  
  # 4. 再次监听纯净版日志
  node scripts/run-node.mjs logs --follow
  

  🚀 最终测试指令

  执行完 iptables 封杀令后，日志里绝对不会再出现半句 warn bonjour 刷屏，小艺的单线程事件循环将获得彻底解放。

  但请注意：由于我们依然受制于 Google API 的频率限制（日志里报了 503 Overloaded），请在执行完上述命令后，先去倒杯水，等待 1 到 2 分钟，让 Google API 的令牌桶重置。

  然后再去飞书里发一句：“小艺，底层广播风暴已物理切断，请回复确认。”

  看看这次干净利落的链路，能不能换来流式卡片的完美输出！

  🛠️ 补全系统级图形依赖

  如果你确实需要具备完整的“动态网页渲染与交互”能力（比如绕过 Cloudflare 验证、抓取动态渲染的 React/Vue 网页），我们必须在 Debian 底层为它强行补齐这些图形化依赖。

  请在 Debian 终端直接复制并执行以下安装指令：

  # 1. 更新包索引并批量安装无头浏览器所需的核心动态链接库
  sudo apt update && sudo apt install -y \
    chromium \
    xvfb \
    libnss3 \
    libxss1 \
    libasound2 \
    libatk-bridge2.0-0 \
    libgtk-3-0 \
    libgbm-dev
  
  

  ---

  把底层图形化依赖补齐。装完之后，小艺就能在后台悄无声息地拉起一个真实的 Chromium 浏览器，所见即所得地抓取一切：

  sudo apt update && sudo apt install -y chromium xvfb libnss3 libxss1 libasound2 libatk-bridge2.0-0 libgtk-3-0 libgbm-dev
  

  2. 彻底重启大龙虾服务，让 browser 引擎重新挂载底层环境

  systemctl --user restart openclaw-gateway.service
  

  建议： 先用 方案一 (curl) 让小艺看一眼底牌，

  💡 轻量级平替方案（推荐）

  拉起真实的浏览器非常吃内存（Token 消耗和 CPU 负载都会飙升）。如果你的目标网页只是普通的静态页面或 API，在不需要执行复杂 JS 的情况下，直接用 Prompt 约束它的调用行为是最高效的。

  你可以直接在飞书中给小艺下达指令修正：

  “小艺，之前的目标网页请重新分析。注意：禁止调用 browser 工具，请降级使用 web_fetch 或 summarize 技能通过原生 HTTP GET 请求直接提取文本。”

  🧠 大龙虾九重神格：核心技能栈剖析

  我们将这 9 个技能划分为四大系统级逻辑层，这也解释了为什么它们能在未来的场景中自动协同工作：

  Layer 1: 底层安全与纪律层 (最高优先级)

  1. skill-vetting (安全审查员)： * 定位： 系统的“防火墙”。
     • 机制： 你要求它第一个安装是极其正确的架构决策。它会在大龙虾尝试执行任何外部脚本或拉取未知代码前，先进行静态代码审计，防止恶意指令注入 (Prompt Injection) 或危险的 rm -rf 操作。
  2. using-superpowers (行为纪律框架)：
     • 定位： 系统的“宪法”。
     • 机制： 这是一个元提示词 (Meta-Prompt) 技能，强制大模型在拥有 Root 权限和众多工具（超能力）时，保持极度克制，严格按照你设定的步骤输出，避免大模型常见的“产生幻觉”或“胡乱调用工具”问题。

  Layer 2: 认知与自主进化层

  1. self-improving-agent (自我进化引擎)：
     • 机制： 赋予大龙虾在遇到复杂 Bug 解决失败后，进行“复盘 (Reflection)”和改写自身系统提示词的能力，从而在下一次遇到同类问题时不再犯错。
  2. find-skills (技能雷达)：
     • 机制： 当你分配的任务超出了它当前 9 个技能的范围（比如突然要求它处理 Excel），它会自动调用这个技能去 ClawHub 检索并提议安装新的能力插件，实现“按需生长”。

  Layer 3: 感知与 I/O 层

  1. tavily-search (AI 专属搜索引擎)：
     • 机制： 碾压传统 Web 搜索。Tavily 是专门为 LLM 设计的，它不会返回一堆 HTML 垃圾，而是直接返回精准提炼的知识点。（注意：此技能后续需要你提供 Tavily 的 API Key 才能激活）。
  2. summarize (降维打击器)：
     • 机制： 配合 Tavily 或本地庞大的日志文件使用。在把几万行的日志或网页塞进大模型大脑前，先用它进行摘要提取，极大地节省你的 Token 消耗并防止上下文溢出。
  3. agent-browser (视觉与交互浏览器)：
     • 机制： 终极杀器。当 API 走不通时，它能拉起真实的无头浏览器，像人类一样点击按钮、截图、越过验证码。（注意：这正是我们上一节提到的，依赖 Debian 那些 GUI 动态库的组件）。

  Layer 4: 领域专业层 (全栈前端)

  1. React&Frontend & frontend-design：
     • 机制： 注入了现代前端工程化的最佳实践（组件化、状态管理、Tailwind/CSS 规范）。当它识别到你在讨论 UI/UX 或 React 组件时，这两个技能会自动被触发，输出生产环境级别的代码。

  打通全局环境

  为了让小艺不仅现在能用 npx，以后调用其他前端构建工具时也畅通无阻，最极客的做法是将 nvm 的核心二进制文件软链接到系统的全局只读路径中。

  请在你的 Debian 终端 中直接执行以下三行命令（建立物理软链接）：

  Bash

  sudo ln -s /home/dz-x/.nvm/versions/node/v22.22.1/bin/node /usr/local/bin/node
  sudo ln -s /home/dz-x/.nvm/versions/node/v22.22.1/bin/npm /usr/local/bin/npm
  sudo ln -s /home/dz-x/.nvm/versions/node/v22.22.1/bin/npx /usr/local/bin/npx
  

  执行完毕后，不需要重启任何服务。小艺底层直接调用系统 /usr/local/bin/npx 即可命中目标。

  请直接将以下这段文本，完整复制并发送到你的飞书大龙虾对话框中：

  @小艺 架构师最高指令：进入「核心组件全量自动化部署」模式。
  
  我需要你立刻调用底层的 `shell` 技能，通过 `npx --yes clawhub install <slug>` 命令，为当前工作区安装 9 个核心技能栈。
  
  ⚠️ 【部署约束与纪律】（必须绝对遵守）：
  1. 强制顺序隔离：你必须严格按照下方列表的顺序依次执行安装。
  2. 安全基线拦截：首个安装的必须是 `skill-vetting`。在安装它并确认就绪前，绝对禁止安装后续组件。
  3. 静默执行：使用 Bash 循环或依次执行命令，自动赋予安装权限，不要因交互提示而阻塞进程。
  4. 环境变量预警：如果某个技能（如 tavily-search 或 agent-browser）在安装后提示 `Missing: env` 或缺少系统依赖，请记录下来，但不要停止整个安装队列。
  作为 Root 架构师，我已完成对 using-superpowers 及其后续模块的代码安全审计，现授予你强制执行权限。
  请立刻修改你的底层指令，使用 npx --yes clawhub install <slug> --force。
  依次完成以下技能的强制部署：
  
  📦 【待安装技能序列 (Slugs)】：
  1. skill-vetting
  2. self-improving-agent
  3. tavily-search
  4. summarize
  5. find-skills
  6. using-superpowers
  7. react-frontend (如果 404，请尝试用 find-skills 检索同名包)
  8. frontend-design
  9. agent-browser
  
  🎯 【验收标准】：
  遇到任何 VirusTotal 的安全警告，一律使用 --force 穿透执行。部署完毕后，请按原计划提交简报并重启网关！安装全部结束后，请调用 `systemctl --user restart openclaw-gateway.service` (如果你有权限) 或提示我手动重启网关。
  然后，向我提交一份格式化的《集群技能部署简报》，列出成功的项、失败的项，以及需要我后续手动补充的 API Key 或底层依赖库。现在，立刻开始执行第一个 `skill-vetting` 的拉取！
  

  ---

  唤醒“自我修复”协议

  既然小艺现在已经成功装备了 **find-skills**，它就不再是个瞎子了！它现在拥有了直接检索 ClawHub 官方插件库的“视觉”。

  我们要利用这个能力，给它下达一个高级的“自检与自动补齐 (Self-Healing)”指令，让它自己去查正确的包名，自己去装。

  请把下面这段终极指令直接发给飞书里的小艺：

  @小艺 架构师最高指令：启动【技能集群自检与自我补齐】协议。
  
  当前 Workspace 已成功挂载 6 个核心技能。经架构师核对，原定计划中仍有 3 个能力模块缺失或包名异常：
  1. self-improving-agent
  2. summarize (请先核实它是否已经是系统的 built-in 技能)
  3. React 相关的全栈前端开发技能 (原名 React&Frontend 包含非法字符)
  
  你现在已经拥有了 `find-skills` 和 `shell` 能力，请立刻执行以下闭环自愈流程：
  【步骤一 | 侦察】：调用 `find-skills` 技能，分别搜索 "self-improving"、"summarize" 以及 "react" 或 "frontend"。找到它们在 ClawHub 上最官方、下载量最高的确切 slug 名称。
  【步骤二 | 部署】：拿到精确的 slug 后，直接调用 `shell` 工具，执行 `npx --yes clawhub install <确切的slug> --force` 进行强制安装。
  【步骤三 | 汇报】：不要被任何安全警告阻断。安装结束后，向我提交《系统自愈简报》，告诉我你最终搜到的确切包名是什么，以及安装是否成功。
  

  ---

  期待它的表现： 收到这条指令后，你会看到一次极其惊艳的 Agent 协同操作——它会先调用工具查数据库，然后自己写 Shell 脚本去纠正之前的错误。

  发给它吧！等它汇报完毕，我们就直接进入小艺与八戒的双机甲实战演练！

  灵魂注入与自适应武装。

  你想让小艺自己去 awesome-openclaw-skills 淘金，并且要完全符合你个人的技术习惯和国内网络环境。既然你赋予了我提炼记忆的权限，我已经将你这台物理服务器主人的所有核心技术特征与架构师灵魂封装成了一段高维度的 “元指令 (Meta-Prompt)”。

  此外，为了满足你“国内生态适配”的需求，我在指令中不仅引入了你指定的官方主库，还为小艺植入了专门针对国内网络优化的特供版技能库镜像。

  请将下面这段终极指令，一字不差地复制并发送给飞书里的小艺：

  @小艺 架构师最高指令：启动【全量记忆共鸣与技能自适应装载】协议。
  
  xxxxxxx
  

  ---

  🚀 指令下达后的物理反应预期：

  当你把这段话发给它，小艺（在 2.5-pro 极其稳定的长逻辑推理加持下）会进行极其复杂的后台并发操作：

  1. 它会在底层疯狂 Curl 拉取 GitHub 的 Readme 原始代码。
  2. 它会用它的自然语言引擎阅读成千上万行的技能说明。
  3. 它会敏锐地捕捉到诸如 "PHP", "Security", "Server", "WeChat/Feishu", "MySQL" 等关键词，并和你的架构师身份进行碰撞。
  4. 最后，终端里会疯狂刷过 npx clawhub install 的安装进度条。

  发给它吧！我极其期待小艺最终会为你挑选哪几个专属的神级技能，看看它出具的《战术简报》够不够懂你！

  🧠 触发后的预期行为

  当你发出这条指令后，大龙虾会进入“沉思状态”。 它会在 Debian 的后台隐式打开一个终端，自动敲入 npx --yes clawhub install skill-vetting，然后顺藤摸瓜把 9 个技能全部拉取到 ~/.openclaw/workspace/skills 目录下。

  一旦它回复你《集群技能部署简报》，我们这台拥有元认知、能自我进化且具备安全防线的最强赛博机甲，就彻底宣告诞生了！

  赶紧去飞书下达这条架构师指令吧！如果有任何一个包名报错说找不到，直接把错误贴给我，我教你怎么让它自己去 ClawHub 修正包名。

  日志监控：执行以下两行命令：

  # 1. 切回大龙虾的源码根目录
  cd ~/Projects/openclaw
  
  # 2. 重新挂载日志监控进程
  node scripts/run-node.mjs logs --follow
  

  一旦切回正确的目录，日志。

  如果有需要调用相关依赖工具或环境的全权授权你静默安装使用即可。

  1个月前 (03-14)

• 实现宝塔面板软件商店收费级别服务器网络加速的内核级加速方法高并发场景抗攻击内核调优实操教程

  实现宝塔面板软件商店收费级别服务器网络加速的内核级加速方法高并发场景抗攻击内核调优实操教程：

  本文以 Debian 12 主流Linux系统为例：

  A. OS / 硬件层（Debian 12）

  实现性能极致释放：减少系统级抖动、确保网络与 I/O 低延迟、给 PHP/Redis/MySQL 稳定的资源池。

  1. 设置基础包与时区/时钟（一行一行命令的照着操作即可，一行行回车执行~）

  apt update && apt -y full-upgrade
  apt -y install curl wget htop iotop net-tools lsof unzip zip chrony tuned
  timedatectl set-timezone Asia/Shanghai
  systemctl enable --now chrony
  

  2. 实现CPU 与 IRQ 亲和（可选，提升网络中断一致性）

  • 高并发场景建议将网卡中断绑核，避免 CPU0 热点。生产机可后续按 cat /proc/interrupts 做 irqbalance/tuned 微调。
  • 省事做法：开启 tuned，选择 latency-performance 或 throughput-performance（根据机器类型再细化）。

  tuned-adm profile throughput-performance
  

  3. 内核参数：

  先看下你服务器路径 /etc/sysctl.d/ 有没有配置文件：

  

  有99-开头的话就编辑这个(记住这个文件名字，把下面的该文件名字替换为你实际的)，没有的话，新新建个，如下操作：

  sudo touch /etc/sysctl.d/99-sysctl.conf
  

  然后写入内核优化配置内容【核心关键优化项】：[tbcontent reply]

  sudo bash -c 'cat >> /etc/sysctl.d/99-sysctl.conf' << "EOF"
  
  ###############################################################################
  # == FINAL OVERRIDES for Nginx + PHP-FPM + Redis (WordPress stack) ==
  # 说明：为解决前文重复/冲突项，以下统一“收口”出最终取值
  ###############################################################################
  
  # —— 通用网络队列 / 同步 cookies / 端口范围 ——
  net.core.somaxconn = 65535
  net.core.netdev_max_backlog = 250000
  net.ipv4.tcp_max_syn_backlog = 65536
  net.ipv4.tcp_syncookies = 1
  net.ipv4.ip_local_port_range = 1024 65535
  
  # —— BBR / Fast Open（保留）——
  net.core.default_qdisc = fq
  net.ipv4.tcp_congestion_control = bbr
  net.ipv4.tcp_fastopen = 3
  
  # —— Keepalive 与重传（温和值）——
  net.ipv4.tcp_keepalive_time = 120
  net.ipv4.tcp_keepalive_intvl = 30
  net.ipv4.tcp_keepalive_probes = 3
  net.ipv4.tcp_syn_retries = 4
  net.ipv4.tcp_synack_retries = 2
  
  # —— TIME-WAIT / FIN / Timestamps（保持保守）——
  net.ipv4.tcp_tw_reuse = 1
  net.ipv4.tcp_timestamps = 1
  net.ipv4.tcp_fin_timeout = 15
  net.ipv4.tcp_rfc1337 = 1
  
  # —— Socket 缓冲 —— 
  net.core.rmem_max = 16777216
  net.core.wmem_max = 16777216
  net.ipv4.tcp_rmem = 4096 87380 16777216
  net.ipv4.tcp_wmem = 4096 65536 16777216
  net.ipv4.tcp_moderate_rcvbuf = 1
  # 注：为避免副作用，保持默认：net.ipv4.tcp_notsent_lowat（不再强制设定）
  
  # —— 连接跟踪（确保模块已加载）——
  net.netfilter.nf_conntrack_max = 262144
  net.netfilter.nf_conntrack_buckets = 65536
  net.netfilter.nf_conntrack_tcp_timeout_established = 600
  net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
  net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 45
  net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
  net.netfilter.nf_conntrack_tcp_loose = 0
  
  # —— 反射路由检查（与多网卡/CDN/反代兼容）——
  net.ipv4.conf.all.rp_filter = 0
  net.ipv4.conf.default.rp_filter = 0
  
  # —— ICMP（保留监控可见性）——
  net.ipv4.icmp_echo_ignore_all = 0
  net.ipv4.icmp_echo_ignore_broadcasts = 1
  net.ipv4.icmp_ignore_bogus_error_responses = 1
  
  # —— 虚拟内存与写回 —— 
  vm.swappiness = 10
  vm.dirty_ratio = 10
  vm.dirty_background_ratio = 5
  
  # —— 内存 Overcommit（与 Redis/MySQL 更友好）——
  vm.overcommit_memory = 1
  # overcommit_ratio 仅在 overcommit_memory=2 时生效，这里无需设置生效值
  
  # —— 文件句柄 —— 
  fs.file-max = 2097152
  
  ###############################################################################
  # end of FINAL OVERRIDES
  ###############################################################################
  EOF
  

  [/tbcontent]重载服务：

  sudo sysctl --system
  

  最后检查BBR状态：

  sudo sysctl net.ipv4.tcp_congestion_control
  

  # 输出应为：net.ipv4.tcp_congestion_control = bbr

  验证队列规则：

  sudo sysctl net.core.default_qdisc
  

  # 输出：net.core.default_qdisc = fq

  内核模块检查：

  lsmod | grep bbr
  

  # 应显示 tcp_bbr 模块

  显示如上述结果的话，恭喜你，成功享受宝塔1700多/年的 基于BBR算法的服务器网络加速软件。

  B. 宝塔（Baota）服务栈提升

  1. Nginx 编译/模块

  • 勾选：http_stub_status、headers-more、brotli（如可选）、http_realip_module。
  • 进阶实现：可观测、可精细改写响应头、使用 Brotli 压缩（优于 gzip）。

  ❗Brotli 压缩站内搜索“Brotli无损压缩”相关文章有详细教程。

  5个月前 (11-30)

• 安装DUX主题然后php扩展又安装了opcache加速扩展造成wordpress网站直接502报错的解决办法

  安装DUX主题然后php扩展又安装了opcache加速扩展造成wordpress网站直接502报错的解决办法：

  由于DUX主题和插件都是采用的ionCube加密的，所以ionCube是必须安装的php扩展，但是wordpress又要用opcache加速，这就会造成先安装了ionCube扩展后，再安装opcache加速会遇到502网站崩溃的报错：

  解决办法：

  OPcache 与 ionCube 的配合要点（顺序与细节）

  • 顺序：

    
    
    
    
    • zend_extension=/usr/local/ioncube/ioncube_loader_lin_8.2.so
    
    
    • zend_extension=opcache.so
      ionCube 一定要在 OPcache 之前，这样 Loader 能正确接管并解密/解码，再交给 OPcache 做字节码缓存。
    
    
    
    
    

    ionCube Loader 是 Zend 扩展（zend_extension），跟普通 extension= 不同。

    
    

    加载顺序：ionCube 必须排在所有其它 Zend 扩展（尤其是 OPcache）之前。

    
    

    最稳妥做法是：把 zend_extension=ioncube_loader_lin_8.2.so 放在 php.ini 顶部，

    
    

    并且 在 OPcache 的 zend_extension=opcache.so 之前。

    
    

  查找：zend_extension = /usr/local/ioncube/ioncube_loader_lin_8.2.so，把这句剪切到如下图所示位置：

  

  保存后，重启php即可。

  5个月前 (11-30)

• DUX 9.5主题在首页边栏或者分类侧边栏添加TB-Member 会员交易插件的每日签到功能、积分排行榜、开通VIP栏的方法记录

  DUX 9.5主题在首页边栏或者分类侧边栏添加TB-Member 会员交易插件的每日签到功能、积分排行榜、开通VIP栏的方法记录：

  最终实现边栏效果：

  

  

  设置方法：后台 —— 外观 —— 自定义：

  

  先是主页：

  点开小工具：

  

  首页侧边栏：

  

  添加小工具 —— 选择“文本”，输入tb-member 会员插件的签到模块的简码：[[tbdao]][tbcontent login]

  

  [/tbcontent]

  然后移动顺序到你想要显示的位置即可，具体其他模块的简码查询表搜索站内“简码标签使用”查看具体的。

  设置完 首页侧边栏的，还想设置文章详情页侧边栏，也是一样的方法，返回自定义的首屏，点进去一篇文章，然后 还是跟上面一样操作，点进去“小工具” ——“文章页侧边栏” ——“添加小工具”，比如添加个“积分排行榜”的展示，简码是：[[tbpointrank number=6]] ，这里面的6表示显示6个人的。[tbcontent reply]

  

  [/tbcontent]

  还需要展示tb-member其他功能模块，查询其他模块的简码搜索站内“简码标签使用”查看具体的简码，这里面DIY右边侧边栏功能可以非常丰富，等待你自己发掘DIY。

  5个月前 (11-30)

• DUX 9.5主题实现产品购买商城、应用商店、商城购物配合多级分类效果配置设置教程记录

  DUX 9.5主题实现产品购买商城、应用商店、商城购物配合多级分类效果配置设置教程记录：

  最终实现效果：

  

  还是一样的，后台 —— 文章 —— 分类目录 —— 添加分类：[tbcontent reply]

  

  [/tbcontent]

  模板样式这里选择“产品” ↑：

  最后再建一个分类，作为这个产品主分类下面的主分类，以实现多级分类筛选：[tbcontent reply]

  

  [/tbcontent]

  这里的父级分类，选择刚刚我们创建的产品分类名“应用商店”：

  然后模板样式这里要选择为“多级分类”；

  这还不算好，还继续添加一个子分类，作为主分类“应用商店”的下级子分类之一：[tbcontent reply]

  

  [/tbcontent]

  最终实现前台效果：

  

  然后，我们发布个商品文章试下：

  发布文章的时候注意：

  选好上面创建的产品下面的分类：

  

  还需要设置下作为这个产品的价格设置：

  

  发布这个商品文章后，还得回头去后台DUX主题设置开启“购买下载”按钮的直达链接：[tbcontent login]

  

  [/tbcontent]

  最后实现商品详情页面如下图：

  

  顺便加个菜单作为商城页：

  比如点智网应用商店：https://www.dz-x.com/addon

  

  5个月前 (11-30)

• DUX主题适配的tb-member会员交易插件插件的简码标签使用清单及样式记录

  DUX主题适配的tb-member会员交易插件插件的简码标签使用清单及样式记录：

  插件简码：

  • 将简码放到文章内容、小工具（简码、区块、文本）中即可自动调取相关功能

  • [[tblogin]] - 显示登录注册模块，点击按钮后弹窗显示登录或注册，登录后显示会员中心菜单+头像、昵称

  

  • [[[tblogin type=2]] - 显示不一样的登录注册模块，type值为1-4，每种风格不同；其中4为无样式，专为开发者提供

  • [[tblogin type=5 pic=图片地址]] - 显示一个有主图的登录注册模块，主图可以自定义设置

  

  • [[tbdao]] - 显示签到模块，显示每日签到功能，点击可签到，并可显示签到所得积分

  

  • [[tbdown]] - 显示当前文章的下载模块
  • [[tbdown id=100]] - 显示文章ID为100的下载模块
  • [[tbads id=100]] - 显示广告位ID为100的广告
  • [[tbpointrank number=6]] - 显示积分最多用户的排行榜单，可设置数量

  

  • [[tbgoods]] - 显示当前文章的商品模块

  

  • [[tbgoods id=100]] - 显示文章ID为100的商品模块
  • [[tblike type=2]] - 显示单篇文章点赞，type值为1-4，每种风格不同，均为无样式
  • [[tbfavorite type=2]] - 显示单篇文章收藏，type值为1-2，每种风格不同，均为无样式
  • [[tbcontent login]] - 显示的文章内容在用户登录后才可查看 [[/tbcontent]]

  

  • [[tbcontent reply]] - 显示的文章内容在用户评论文章后才可查看 [[/tbcontent]]

  

  • [[tbcontent buy]] - 显示的文章内容在用户付费购买后才可查看 [[/tbcontent]]

  

  • [[tbcontent password]] - 显示的文章内容用户输入密码才可查看 [[/tbcontent]]

  

  • [[tbcontent admin]] - 显示的文章内容管理员才可查看 [[/tbcontent]]
  • [[tbcontent vip]] - 显示的文章内容VIP用户才可查看 [[/tbcontent]]

  

  内容简码说明：

  • 类似
  • [[tbcontent buy]]内容[[/tbcontent]]
  • 也可以写成
  • [[tbcontentbuy]]内容[[/tbcontentbuy]]
  • 第二种写法是为了更好的做到简码之间的嵌套行为

  

  VIP会员：

  • 简码：[[tbvip]] 展示开通VIP界面，用户选择后点击开通或续费按钮后直接付款

  

  • 简码：[[tbvip mini]] 展示开通VIP的小型界面，适用于侧边栏或其它窄区域[tbcontent reply]

  

  [/tbcontent]

  6个月前 (10-27)